2026年1月9日,Truebit披露了一起严重的安全事件,其智能合约中的一个漏洞被利用,约8,535 ETH被窃取,漏洞发生时价值约2,660万美元。此次利用针对协议的定价逻辑,在 getPurchasePrice 函数中,使攻击者能够以零成本铸造 TRU 代币,并通过绑定曲线机制将其兑换回 ETH,导致合约储备在快速买卖循环中被耗尽。
Truebit的官方渠道在X上发布的公告确认了该事件:“今天,我们获悉涉及一个或多个恶意行为者的安全事件。受影响的智能合约是 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2,我们强烈建议公众在进一步通知前不要与该合约互动。我们正在与执法部门取得联系。”
来自区块链侦探如 Lookonchain 的链上分析显示,被盗总额超过了初始标记的余额,表明使用多笔交易来掩盖盗窃的全貌。PeckShield 的数据证实,大部分被盗的 ETH 被集中到一个地址,然后再通过 Tornado Cash 将部分资金路由以混淆踪迹。攻击者还对 TRU 代币进行了二次提款,约价值30万美元。
市场反应迅速而严重。根据 Nansen 的数据,TRU 的价格从接近0.16美元暴跌至不足1美分,短短24小时内几乎全部市值蒸发。随着恐慌性抛售,交易量激增,许多持有者在任何价格下都无法平掉头寸。
此次漏洞成为2026年初最大的 DeFi 利用事件之一,此前在2025年末曾发生过重大事件,如 Flow 的伪造代币漏洞和 Trust Wallet Chrome 扩展攻击。尽管总黑客损失呈现出总体下降的趋势——从2025年11月的1.94亿美元降至12月的7600万美元——但高知名度的黑客事件仍在强调智能合约代码存在的持续漏洞以及进行严格安全审计的必要性。
Truebit 的开发团队已暂停所有相关合约,启动内部调查,并聘请第三方取证专家进行全面的技术事后分析。关于部分追回被盗资金的努力仍在进行中,尽管此次入侵的去中心化特性以及对隐私混合器的使用使追踪和追回变得复杂。同时,用户和开发者正在重新评估 DeFi 协议的风险管理实践,强调正式审计、漏洞赏金计划以及带时间锁的升级机制的重要性,以降低未来的被利用风险。
评论 (0)